前不久,网信办会同发改委等12个部门联合起草并发布了《网络安全审查办法(征求意见稿)》,随即还发布了英文版,结合中美贸易战的背景,新《审查办法》的发布时机不由耐人寻味。该征求意见稿旨在提高关键信息基础设施安全可控水平,维护国家安全。根据征求意见稿,经关键信息基础设施保护工作部门认定的运营者,应按办法进行网络安全审查。
一、新《审查办法》聚焦国家安全
网络安全审查制度法律基础来源于《国家安全法》第三十五条和五十九条,分别是关于国家安全审查监管机制和针对关键信息基础设施的安全审查的规定。由此我们可以认为,在新版的《审查办法》中,维护国家安全是其立法的首要目标。相较于原《审查办法》,新《审查办法》立法价值上更加聚焦于国家安全,并没有局限在保护企业和用户的合法权益上,例如:
1、新《审查办法》明确适用于“关键信息基础设施运营者采购网络产品和服务”的活动,这个表述表明其通常不会延伸至一般的网络运营者
2、把数据安全界定为“大量个人信息和重要数据泄露、丢失、毁损或出境”,而非“非法收集、存储、处理、使用用户相关信息的风险”
3、删除了“产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险”的内容。
在《网络安全法》的体系下,为保障网络产品和服务安全,除了网络安全审查制度外,还有“网络关键设备和网络安全专用产品安全认证和安全检测”制度。 两个制度体系的立法目标不一,涵盖重点不同,后者可以看成是一个广泛适用的网络产品安全制度,前者是一个保障国家安全的、增强性的网络产品安全制度。
二、新《审查办法》明晰管理者承担责任
在原来的《审查办法》中,网络产品和服务提供者应当对网络安全审查工作予以配合,并对提供材料的真实性负责。因此,原审查制度中审查机构面对的相对方主要是“网络产品和服务提供者”,但关于网络安全审查的申报责任和配合义务等问题却规定得不甚清晰。
而在新《审查办法》中,将关键信息基础设施运营者(下简称CIIO)为整个审查流程的核心,要承担如下责任:
1、应预判产品和服务上线运行后带来的潜在安全风险,形成安全风险报告
2、通过契约或其他方式要求产品和服务提供者配合网络安全审查,采购合同应约定在网络安全审查通过后方可生效
3、向网络安全审查办公室申报网络安全审查
4、进入特别审查程序需要提供补充材料的,予以配合
5、加强安全管理,督促网络产品和服务提供者认真履行网络安全审查中作出的承诺。
同样,违法的板子也会打在相关管理者的身上,在《办法》中有“违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理”。
三、新《审查办法》明确指出检查内容
原《审查办法》实施已近两年,有不少经验和问题需要总结,此外,这两年的国际环境发生了重要变化,国家安全的内涵也进一步在演进,政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性增强。
新《审查办法》下,安全审查程序中有两个环节,一是CIIO自行判断是否应向网络安全审查办公室申报网络安全审查;二是网络安全审查主管机构评估采购活动可能带来的国家安全风险。
相对于CIIO的自查环节,网络安全审查主管机构评估侧重于国家安全风险,更多考虑产品和服务受到非技术因素而供应中断的可能性,产品和服务提供者受外国政府资助、控制等的情况,具体可以参考下表。
四、新《审查办法》的审查程序更清晰明了
对原《审查办法》诟病比较多的问题之一,就是审查中的程序规定和时限规定不清晰。
新《审查办法》下,中央网络安全和信息化委员会统一领导网络安全审查工作,国家网信办等12个部局组成国家网络安全审查工作机制单位。同时,在国家网信办设立网络安全审查办公室,负责组织制定网络安全审查相关制度规定和工作程序、组织网络安全审查、监督审查决定的实施。
结语
《网络安全审查办法(征求意见稿)》的出台,反映出国家对于网络安全和国家安全新形势、新问题的精准把握,体现出保护关键信息基础设施安全、网络安全和国家安全的信心和决心,值得每一位关键信息基础设施运营者和网络运营者的高度关注、认真研究和密切配合。
为了协助用户完成等保相关工作,安全狗充分考虑了云计算的特点及其带来的安全风险,基于对云计算环境下安全威胁的分析和云环境下的安全需求,结合现有的安全防护体系,设计了满足云计算环境下风险管理、威胁分析、等保合规性要求和保障云计算平台安全运行的云安全整体解决方案。
作为在云安全领域处于领先地位的安全企业,安全狗较早以“等保2.0”标准建设自身产品的安全规范体系,不仅仅是为了符合国家相关法律的合规性要求,更是为了提升整体网络的综合安全防护能力。我们将继续增强对各行业信息安全领域的业务理解和技术服务创新,持续为各行各业输出优质的云安全产品、服务和解决方案。
来源:freebuf.com 2019-06-20 10:53:29 by: 安全狗safedog
请登录后发表评论
注册